Installare applicazioni o repository storage su uno o più server creati sull’infrastruttura di un cloud provider non è sicuramente sufficiente per garantire la sicurezza del proprio business. La facilità e velocità con la quale oggi si possono creare server virtuali su un’infrastruttura cloud esterna rischia infatti di fare sottostimare alle aziende il tema security; per questo è necessario affidarsi a provider che pongono una particolare attenzione a questo aspetto.
Creare da remoto su Aruba Cloud un server virtuale privato Linux o Windows è una questione di minuti: basta accedere al pannello di controllo (un’interfaccia web) e scegliere fra le diverse offerte in base a sistema operativo, CPU, RAM, storage, connettività e così via. Ma per ogni opzione sono presenti anche alcuni template che comprendono funzionalità di sicurezza, che possono essere rese immediatamente in esecuzione. In alternativa o in aggiunta ad esse si possono implementare soluzioni di propria scelta.
Aruba consiglia inoltre alcune semplici regole che è opportuno seguire per garantire la sicurezza dei server virtuali.
Attenzione alle porte
Ogni server virtuale ha un indirizzo IP statico che lo rende accessibile online. Ciascun sistema operativo, inoltre, prevede porte di comunicazione, specializzate per diversi tipi di servizi, che si “mettono in ascolto” verso il cloud pubblico. Se il server deve supportare solo un sito web, un blog o un sito di e-commerce, ha senso lasciare aperte solo le porte 80 (HTTP) e 443 (HTTPS). Il consiglio, insomma, è di ridurre la “superficie di attacco” al minimo necessario.
Come procedere, quindi, per stare più tranquilli fin dall’inizio e predisporsi a una ottimale gestione futura della sicurezza del proprio server virtuale?
Innanzitutto, è opportuno tenere aggiornata la versione del sistema operativo che installiamo. Ad ogni aggiornamento, infatti, possono essere introdotte nuove misure di sicurezza o corrette preesistenti vulnerabilità; ogni OS prevede comandi per attivare questi update.
Quindi è consigliabile utilizzare un port scanner, un software che genera un elenco aggiornato delle porte aperte sull’IP pubblico. Il migliore è Nmap, utilizzabile sia tramite GUI sia da CLI in Linux e Windows.
Per applicare in automatico le regole di accesso o di blocco impostate è necessaria l’installazione di un firewall. In tutte le principali distribuzioni di Linux ne è già installato uno efficace: Iptables. Se si dispone di client con IP statici si può far sì che i firewall consentano selettivamente ad essi l’accesso a porte chiuse rispetto al mondo esterno all’azienda.
Chi può accedere alle applicazioni?
Tradizionalmente l’accesso alle applicazioni avviene con username e password. Questo metodo oggi è insicuro perché gli hacker sono in grado, utilizzando strumenti che riescono a provare velocemente infinite combinazioni (brute force), a eluderlo. L’impiego di chiavi per l’accesso via SSH (Secure Shell) offre migliori garanzie e Aruba Cloud offre l’implementazione di questo sistema già in fase di creazione del server e supporta l’utilizzo di soluzioni con funzionalità aggiuntive come PuTTY Gen e Fail2ban.
Per restare nell’ambito delle applicazioni, un consiglio ulteriore è quello di disinstallare sempre le application non necessarie. Quelle che si desidera mantenere, invece, dovrebbero essere costantemente aggiornate, inclusi gli eventuali plug-in. Attenzione, però, che per gli aggiornamenti automatici può essere necessario aprire, o mantenere aperte, determinate porte che si tenderebbe ad avere chiuse. In ultima analisi, per un ottimale operatività dell’infrastruttura dei server virtuali è necessario un impegno continuo di analisi, studio e ricorso alle migliori soluzioni disponibili.